欧盟个人数据跨境流动机制进展更新(截止201810)
编者按:
以下是公号君根据最近的情况,对欧盟个人数据跨境流动机制最新进展所做的编译汇总,供各位掌握。
正文:
充分性认定和隐私盾
如果欧洲委员会认为第三国或第三国境内特定的行业或部门,对个人数据提了“充分的保护水平”,则可以个人数据可以从欧盟境内向该第三国或第三国境内特定的行业或部门转移个人数据,而无需采取任何额外的步骤来遵守跨境数据传输要求。目前有12项充分性认定【Andorra, Argentina, Canada (commercial organisations), Faroe Islands,Guernsey, Israel, Isle of Man, Jersey, New Zealand, Switzerland, Uruguay andthe United States of America (limited to the Privacy Shield framework)】正在生效,其中包括与美国签订的隐私盾(Privacy Shield)框架,该框架允许个人数据向已通过隐私盾原则自我认证的公司进行跨境传输。
这12项充分性认定,是在GDPR生效前做出的。欧盟明确提出这些认定在GDPR下继续有效,除非并且直到它们被正式修改、取代、废除或被推翻。此外,现有的认定必须至少每四年接受欧盟委员会的审查。因此目前现有的认定,届时是否能顺利通过审查还不得而知。特别是当下,法国隐私保护组织La Quadrature du Net将该框架起诉至the Court of Justice of the European Union (“CJEU”);而且最近,欧洲议会正式要求废除隐私盾框架。马上,欧盟欧盟委员会将对隐私盾运行状况开展第二次审查,而去年10月首次审议后发布的问题仍未得到解决。
相比之下,个人数据从欧盟向亚洲传输传来好消息。欧盟与日本和韩国就“充分性认定”开展的对话有了积极进展。目前,与日本的谈判已经完成,欧盟还公布了充分性认定的草案。做出充分性认定的程序也于2018年9月5日正式启动。尽管欧盟还未对此有最终决定,但预计该认定将很快通过。值得注意的是,该认定是基于日本《个人信息保护法”(“APPI”)》,由于APPI只对私营部门有管辖权,因此与日本的充分性认定也只覆盖私营部门。决定草案明确将教育、宗教和政治组织排除在其范围之外。
标准合同条款
在没有充分认定的情况下,大多数组织选择依赖合同来开展跨境数据传输,其中包含欧盟委员会批准的“标准合同条款”。目前欧盟提供了三套标准合同条款,在许多情况下它们可以形成一个简洁的解决方案,特别是对于直接的“控制者到控制者”或“控制者到处理者”的数据跨境传输。但目前为止,欧盟还没有批准用于“处理者到处理者”的标准合同条款。此外,当下正在进行的诉讼,使得GDPR生效前批准的这三套标准合同条款的合法性产生动摇;“Schrems II”诉讼对其中一套条款的有效性提出质疑,诉讼可能在将来打到CJEU。在可预见的将来,现有的一套标准合同条款仍然可能是适用的数据跨境传输机制,但需要对影响其有效性的各种进展持续关注。
Brexit
随着英国即将退出欧盟,英国很可能成为GDPR中所称的“第三国”,进而需要适用GDPR第五章中的规则。根据英国政府2018年9月13日发布的英国脱欧指导意见,英国政府希望的结果是在2019年3月正式退出日期之前,欧盟能对其做出充分性认定。
存在一些情况有利于欧盟做出充分性认定,例如英国正在遵守GDPR,并且英国《2018年数据保护法》已将GDPR纳入英国法律,但最可能的情形是,欧盟委员会在2019年3月之前不会做出充分决定,届时个人数据在英国和欧盟之间传输将没有替代性机制。在此背景下,英国政府自己的指导建议是:英国公司应开始考虑是否在脱欧日期生效后,需要采用标准合同条款作为替代方案;其他欧盟成员国的公司同样需要制定有关将个人数据跨境传输到英国的应急计划。
约束性公司规则(BCR)
虽然迄今为止BCR的采用率较低,但跨国公司集团的约束性公司规则越来越受欢迎。 BCR由公司集团成员之间共同遵守的框架文件组成。跨国公司可依赖该框架在集团内部向欧盟境外传输个人数据。BCR可适用于作为控制者、处理者或两者角色兼备的集团,其必须得到DPA(如爱尔兰数据保护委员会)的批准。虽然获得DPA的批准所需的时间和精力可能不小,但对于内部已经建立良好数据保护政策和合规框架的企业集团而言,BCR批准和采用流程可能不需要像GDPR合规那样多的额外工作。由于BCR可为数据跨境流动提供长期稳定性,特别是与标准合同条款相比BCR的合法性没有遭到质疑,因此对于大型企业集团而言,BCR的吸引力可能会继续增长。
特定情况的克减(Derogations for specific circumstances)
如果没有其他替代方案,但组织可在有限的情况下依赖GDPR第五章提供的克减情形,例如在与数据主体签订合同,或者在有必要建立、行使或辩护法律诉求时。欧洲数据保护委员会(EDPB)已发布有关适用这些克减的指南,以协助组织确定是否可以适用这些克减措施。(完)